Възстановяване на данни като експерт по съдебна медицина с помощта на Ubuntu Live CD

2024 Автор: Geoffrey Carr | [email protected]. Последно модифициран: 2023-12-17 11:00

Има много помощни програми за възстановяване на изтрити файлове, но какво, ако не можете да заредите компютъра си или цялото устройство е форматирано? Ще ви покажем някои инструменти, които ще копаят дълбоко и ще възстановят най-неуловимите изтрити файлове или дори дялове на целия твърд диск.

Ние ви показахме лесни начини да възстановите случайно изтритите файлове, дори и един прост метод, който може да бъде направен от Ubuntu Live CD, но за твърди дискове, които са силно повредени, тези методи няма да го скъсат. В тази статия ще разгледаме четири инструмента, които могат да възстановят данни от най-обърканите твърди дискове, независимо дали са форматирани за Windows, Linux или Mac, или дори ако таблицата на дяловете е напълно изтрита.

Забележка: Тези инструменти не могат да възстановят данни, които са били презаписани на твърд диск. Дали изтритият файл е презаписван зависи от много фактори - колкото по-бързо осъзнавате, че искате да възстановите файл, толкова по-вероятно ще бъдете в състояние да го направите.

Нашата настройка

За да покажем тези инструменти, сме настроили малък твърд диск от 1 GB, като половината от пространството е разделено на ext2, файлова система, използвана в Linux, и половината от пространството е разделено на FAT32 - файлова система, използвана в по-стари системи на Windows. Съхраняхме десет произволни картини на всеки твърд диск.

След това изтрихме таблицата на дяловете от твърдия диск, като изтрихме дяловете в GParted.

Инсталиране на инструментите

Всички инструменти, които ще използваме, са в Ubuntu вселена хранилище.

За да активирате хранилището, отворете Synaptic Package Manager, като кликнете върху Система в горния ляв ъгъл и след това върху Администриране> Synaptic Package Manager.

Кликнете върху Настройки> хранилища и добавете чек в полето с надпис "Софтуер с отворен код поддържан от общността (вселена)".

Кликнете върху Затваряне и след това в главния прозорец Synaptic Package Manager, щракнете върху бутона Reload. След като пакетът отново се зареди и индексът за търсене се възстанови, потърсете и маркирайте за инсталиране един или всички от следните пакети: TestDisk, най-важен, и скалпел.

TestDisk включва TestDisk, който може да възстанови изгубените дялове и сектора за ремонт на зареждане и PhotoRec, който може да възстанови много различни типове файлове от тонове различни файлови системи.

най-важен, първоначално разработена от Службата за специални разследвания на ВВС на САЩ, възстановява досиета въз основа на техните заглавия и други вътрешни структури. Най-напред работи на твърди дискове или дискови изображения, генерирани от различни инструменти.

На последно място, скалпел изпълнява едни и същи функции като преди всичко, но се фокусира върху подобрена производителност и по-ниска употреба на паметта. Скалпел може да работи по-добре, ако имате по-стара машина с по-малко RAM.

Възстановете дяловете на твърдия диск

Ако не можете да монтирате твърдия диск, то неговата таблица с дялове може да е повредена. Преди да започнете да се опитвате да възстановите важните си файлове, възможно е да възстановите един или повече дялове на устройството си, като възстановите всичките си файлове с една стъпка.

TestDisk е инструментът за работата. Стартирайте го, като отворите терминал (Приложения> Аксесоари> Терминал) и въведете:


sudo testdisk

Ако искате, можете да създадете лог файл, въпреки че няма да се отрази на колко данни ще възстановите. След като направите своя избор, ще бъдете посрещнати със списък на носителите за съхранение на вашата машина. Трябва да сте в състояние да идентифицирате твърдия диск, който искате да възстановите дялове от неговия размер и етикет.

TestDisk ви кани да изберете типа таблица на дяловете, която да търсите. В повечето случаи (ext2 / 3, NTFS, FAT32 и т.н.) трябва да изберете Intel и да натиснете Enter.

Маркирайте Анализирай и натиснете enter.

В нашия случай нашият малък твърд диск е бил форматиран като NTFS. Изненадващо, TestDisk намира този дял, въпреки че не е в състояние да го възстанови.

Също така намира и двата дяла, които току-що сме изтрили. Можем да променим техните атрибути или да добавим повече дялове, но ще ги възстановим само с натискане на Enter.

Ако TestDisk не е намерил всичките ви дялове, можете да опитате да направите по-задълбочено търсене, като изберете тази опция с лявата и дясната стрелка. Имахме само тези две дялове, така че ще ги възстановим, като изберете "Напиши" и натиснете "Enter".

Testdisk ни информира, че ще трябва да рестартираме.

Забележка: Ако вашият Ubuntu Live CD не е постоянен, тогава при рестартиране ще трябва да преинсталирате всички инструменти, които сте инсталирали по-рано.

След като рестартираме, и двата ни дяла се връщат към първоначалните си състояния, картини и всичко останало.

Възстановяване на файлове от определени типове

За следващите примери сме изтрили 10 снимки от двата дяла и ги преформатирахме.

PhotoRec

От трите инструмента, които ще покажем, PhotoRec е най-лесният за използване, въпреки че е конзолна базирана помощна програма. За да започнете да възстановявате файлове, отворете терминал (Приложения> Аксесоари> Терминал) и въведете:


sudo photorec

За да започнете, ще бъдете помолени да изберете устройство за съхранение, което да търсите. Трябва да сте в състояние да определите правилното устройство по неговия размер и етикет. Изберете правилното устройство и натиснете Enter.

PhotoRec ви моли да изберете типа дял, който да търсите. В повечето случаи (ext2 / 3, NTFS, FAT и т.н.) трябва да изберете Intel и да натиснете Enter.

Получавате списък с дяловете на избрания от вас твърд диск.Ако искате да възстановите всички файлове в дял, изберете Търсене и натиснете Enter.

Този процес обаче може да бъде много бавен и в нашия случай искаме само да търсим файлове с картини, така че вместо това да използваме клавиша със стрелка надясно, за да изберете File Opt и натиснете Enter.

PhotoRec може да възстанови много различни типове файлове, а премахването на всяка от тях ще отнеме много време. Вместо това натиснете "s", за да изчистите всички селекции и след това намерете подходящите типове файлове - jpg, gif и png - и ги изберете, като натиснете клавиша със стрелка надясно.

След като сме избрали тези три, натиснете "b", за да запазите тези селекции.

Натиснете enter, за да се върнете към списъка с дялове на твърдия диск. Искаме да търсим и двете ни дялове, така че да откроим "Няма дял" и "Търсене" и след това да натиснете Enter.

PhotoRec подканя за място за съхранение на възстановените файлове. Ако имате различен здрав твърд диск, препоръчваме ви да съхранявате възстановените файлове там. Тъй като не се възстановяваме много, ще го съхраняваме на работния плот на Ubuntu Live CD.

Забележка: Не възстановявайте файлове на твърдия диск, от който се възстановявате.

PhotoRec е в състояние да възстанови 20 снимки от дяловете на нашия твърд диск!

Един бърз поглед в директорията recup dir.1, която създава, потвърждава, че PhotoRec е възстановил всички наши снимки, освен за имената на файловете.

най-важен

Най-напред е програма за команден ред без интерактивен интерфейс като PhotoRec, но предлага няколко опции от командния ред, за да получите възможно най-много данни от вашето устройство.

За пълен списък на опциите, които могат да бъдат променени чрез командния ред, отворете терминал (Приложения> Аксесоари> Терминал) и въведете:


foremost –h

В нашия случай опциите на командния ред, които ще използваме, са:

-t, разделен със запетая списък на типовете файлове, които да търсите. В нашия случай това е "jpeg, png, gif".
-v, което дава възможност за подробен режим, като ни дава повече информация за това, което прави всичко.
-о, изходната папка за съхранение на възстановените файлове. В нашия случай ние създадохме директория, наречена "foremost" на работния плот.
-i, входът, който ще бъде търсен за файлове. Това може да бъде дисково изображение в няколко различни формата; обаче, ще използваме твърд диск, / dev / sda.

Нашето предимство е:


sudo foremost –t jpeg,png,gif –o foremost –v –i /dev/sda

Показването ви ще се различава в зависимост от това, което търсите и къде го търсите.

Най-напред е в състояние да възстанови 17 от 20-те файла, съхранявани на твърдия диск.

При разглеждането на файловете можем да потвърдим, че тези файлове бяха възстановени сравнително добре, въпреки че можем да видим някои грешки в миниизображението за 00622449.jpg.

Част от това може да се дължи на ext2 файловата система. Най-напред препоръчва да се използва опцията -d от командния ред за Linux файлови системи като ext2.

Ще започнем отново отново, като добавим опцията -d от командния ред към най-голямото ни позоваване:


sudo foremost –t jpeg,png,gif –d –o foremost –v –i /dev/sda

Този път най-вече може да възстанови всичките 20 изображения!

Последният поглед към снимките показва, че снимките са били възстановени без никакви проблеми.

скалпел

Скалпелът е друга мощна програма, която, подобно на Foremost, е силно конфигурируема. За разлика от Foremost, Scalpel изисква да редактирате конфигурационен файл, преди да опитате възстановяване на данни.

Всеки текстов редактор ще направи, но ще използваме gedit, за да променим конфигурационния файл. В терминален прозорец (Приложения> Аксесоари> Терминал) въведете:


sudo gedit /etc/scalpel/scalpel.conf

scalpel.conf съдържа информация за различни типове файлове. Превъртете през този файл и отменете линиите, които започват с типа файл, който искате да възстановите (т.е. премахнете символа "#" в началото на тези редове).

Запишете файла и го затворете. Върнете се в прозореца на терминала.

Скалпелът също има тон от опции за команден ред, които могат да ви помогнат да търсите бързо и ефективно; обаче, ще определим входното устройство (/ dev / sda) и изходната папка (папка, наречена "скалпел", която създадохме на работния плот).

Нашето позоваване е:


sudo scalpel /dev/sda –o scalpel

Scalpel е в състояние да възстанови 18 от нашите 20 файла.

Бързият преглед на възстановения скалпел на файлове показва, че повечето от файловете ни са успешно възстановени, въпреки че имаше някои проблеми (например 00000012.jpg).

заключение

В нашия бърз пример за игра, TestDisk успя да възстанови два изтрити дяла, а PhotoRec и Foremost успяха да възстановят всичките 20 изтрити изображения. Скалпелът е възстановил повечето от файловете, но е много вероятно играенето с опциите на командния ред за скалпел да ни позволи да възстановим всичките 20 изображения.

Тези инструменти са животоспасяващи, когато нещо се обърка с вашия твърд диск. Ако данните ви са някъде на твърдия диск, тогава един от тези инструменти ще го проследите!